LOGO
Sinh viên thực hiện:
Phạm Hữu Thiết
Tạ Thị Thanh Thùy
Tô Quang Hiền
Đề tài: TÌM HIỂU AN TOÀN VÀ BẢO
MẬT TRONG HĐH WINDOWS
Giáo viên Hướng dẫn :
Lê Đức Thuận
MỤC LỤC
I: Tổng quan về hệ thống bảo mật của hệ điều hành
windows qua các phiên bản
II: Nguyên lý an toàn và bảo mật trên HĐH windows
III: Phân Tích hệ thống API bảo mật trong Windows
IV: So sánh tính an toàn và bảo mật giữa windows và
linux
V: Sơ lược về tính năng an toàn và bảo mật trên
windows 7
I: Tổng quan về hệ thống bảo mật của hệ điều hành
windows qua các phiên bản
1. Windows 95 - Khởi đầu cho vấn đề bảo mật
2. Windows NT 4.0 - Lỗ hổng bảo mật bị khai thác rầm rộ
3. Windows 98 - Lỗ hổng bảo mật tiếp tục gây họa
4. Windows 2000 - Sự bệ rạc của hệ thống bảo mật
5. Window XP - Kỷ nguyên của công nghệ tường lửa
6. Windows Server 2003 - 'Khởi đầu không như mơ'
7. Windows Vista - Thành quả của sự nỗ lực
8. Windows Server 2008 - Giảm thiểu các cuộc tấn công
9. Windows 7 - Chặn đường sống của virus Autorun trên US
10. Windows 8 - Mới nhất và an toàn nhất

II: Nguyên lý an toàn và bảo mật trên HDH
windows
Bản chất của các cơ chế, nguyên lý an toàn và bảo mật trên
HĐH windows đó là đảm bảo an toàn, bảo mật cho hệ thống và
cho người dùng.
1. An toàn hệ thống (Security)
Là một cơ chế kiểm soát việc sử dụng tài nguyên của các
tiến trình hay người sử dụng để đối phó với các tình huống
lỗi có thể phát sinh từ trong hệ thống

Các vấn đề về an toàn hệ thống
Hệ thống được gọi là an toàn nếu các tài nguyên được sử
dụng đúng như quy ước trong mọi hoàn cảnh

Kiểm định danh tính (Authentication)
II: Nguyên lý an toàn và bảo mật trên HDH
windows
•
Để đảm bảo an toàn, hệ điều hành cần giải quyết tốt vấn
đề chủ yếu là kiểm định danh tính (authentication). Hoạt động
của hệ thống bảo vệ phụ thuộc vào khả năng xác định các tiến
trình đang xử lý.
•
Cách tiếp cận phổ biến nhất để giải quyết vấn đề là sử
dụng password để kiểm định đúng danh tính của người dùng
•
Cơ chế password rất dễ hiểu và dễ sử dụng do vậy được
sử dụng rộng rãi, tuy nhiên yếu điểm nghiêm trọng của phương
pháp này là khả năng bảo mật password rất khó đạt được sự hoàn
hảo, những tác nhân tiêu cực có thể đoán ra password của người

khác nhờ nhiều cách thức khác nhau.
II: Nguyên lý an toàn và bảo mật trên HDH
windows

Mối đe dọa từ các chương trình
Trong môi trường mà một chương trình được tạo lập bởi người
này lại có thể được người khác sử dụng, có thể xảy ra các tình
huống sử dụng không đúng, từ đó dẫn đến những hậu qủa khó
lường.
2. Bảo vệ an toàn hệ thống
An toàn và bảo vệ hệ thống là chức năng không thể thiếu của các
phiên bản của HĐH windows

Mục tiêu bảo vệ hệ thống (Protection)
•
Bảo vệ chống lỗi của tiến trình
•
Chống sự truy xuất bất hợp lệ

Cơ chế
II: Nguyên lý an toàn và bảo mật trên HDH
windows
xác định làm thế nào để thực hiện việc bảo vệ, có thể có
các cơ chế phần mềm hoặc cơ chế phần cứng.

Chiến lược:
Quyết định việc bảo vệ được áp dụng như thế nào : những
đối tượng nào trong hệ thống cần được bảo vệ, và các
thao tác thích hợp trên các đối tượng này
1. Cơ chế xác thực.


Xác thực người dùng là vấn đề an ninh hàng đầu của
HĐH
Windows

Hoạt động của hệ thống bảo vệ phụ thuộc vào khả năng
định danh các tiến trình đang chạy
II: Nguyên lý an toàn và bảo mật trên HDH
windows
2. Cơ chế kiểm chứng

Tài nguyên trong HĐH windows có thể là phần và được
windows gán cho một định danh duy nhất

Chỉ có thể sử dụng tài nguyên thông qua các thao tác
đã được định nghĩa tường minh

Tiến trình chỉ được phép truy cập đến những tài nguyên được
phép.
3. Mã hóa

Khi mạng máy tính trở nên phổ biến, nhiều thông tin bí
mật được truyền qua những môi trường không tin cậy.

Để giữ bí mật thông tin cho người dùng và tài nguyên
thì HĐH windows hay bất kỳ một HĐH nào khác cũng đều
sử dụng phương pháp mã hóa.
II: Nguyên lý an toàn và bảo mật trên HDH
windows
4. Phòng tránh virus và các phần mềm độc hại


Firewar

Phần mềm diệt virus
CHƯƠNG 3: Phân Tích hệ thống API windows
API HỖ TRỢ CƠ CHẾ XÁC THỰC
API HỖ TRỢ CƠ CHẾ PHÂN QUYỀN
API HỖ TRỢ CƠ CHẾ MÃ HÓA
API HỖ TRỢ CƠ CHẾ THEO DÕI HỆ THỐNG
CHƯƠNG 3: Phân Tích hệ thống API windows
1. API hỗ trợ cơ chế xác thực
a. Giới thiệu lập trình xác thực trên môi trường local

Là quá trình xác minh thông tin đăng nhập của một tài
khoản nào đó trên windows

Tài khoản đăng nhập là tài khoản được lưu tại local

sử dụng tiến trình để quản lý xác thực gọi là local security
subsystem service(lsa)
b. Quá trình xác thực trên local

khởi động máy , nhấn CTRL-ALT-DELETE

tiến trình dành cho việc đăng nhập hoạt động , winlogon.
Exe cấm tất cả các tiến trình khác

GINA nhận USERNAME và PASSWORD từ người dùng
gửi tới LSA
III: Phân Tích hệ thống API windows


LSA chuyển thông tin xác thực tới KERBEROS

KERBEROS không xác thực được vì không tìm thấy
KDC( không có domain controller)

KERBEROS chuyển lại gói xác thực cho LSA

LSA nhận lại và chuyển gói xác thực qua giao thức NTLM để
cử lý

NTLM kiểm tra thông tin xác thực dựa và cơ sở dữ liệu file
sam. nếu không thành công gửi kết quả đến LSA. LSA gọi
GINA báo người dùng USERNAME không hợp lệ, yêu cầu
nhập lại

Nếu xác thực thành công , LSAtạo ra một ACCESS TOKEN
cho phiên LOGON của USER

Dựa vào ACCESS TOKEN đề xuất với trạng thái hệ thống phù
hợp với USER
III: Phân Tích hệ thống API windows
c. API xác thực và quản lý tài khoản
Đối với việc xác thực bằng LSA có hai hàm xác thực quan
trọng đó là :

LogonUser

LsaLogonuser
III: Phân Tích hệ thống API windows

d. API quản lý tài khoản
III: Phân Tích hệ thống API windows
e. API quản lý quyền hạn tài khoản
III: Phân Tích hệ thống API windows
2. API hỗ trợ phân quyền
a. ACCESS TOKEN

Chứa thông tin định danh, định danh nhóm

Chứa danh sách quyền hạn của tài khoản và nhóm mà tài
khoản đó là thành viên
b. SECURITY DESCRIPTOR
Khi một đối tượng được windows chỉ định một security
descriptor để chứa thông tin bảo mật về đối tượng như:

Discretionary access control list (DACL): Tài khoản, nhóm
nào được quyền truy xuất đối tượng

System access control list (SACL):Thông tin điều khiển hệ
thống ghi nhận lại những hành động truy cập tới đối tượng.
III: Phân Tích hệ thống API windows
3. API hỗ trợ cơ chế theo dõi hệ thống
Bản chất của quá trình cài đặt even log trên windows cho
các ứng dụng

TẠO EVENT SOURCE TRONG REGISTRY ĐỂ CHỨA
CÁC EVENT LOG SẼ ĐƯỢC GHI XUỐNG ỨNG DỤNG

TẠO EVENT MESSAGE FILE ĐƯỢC EVENT SOURCE
LIÊN KẾT ĐẾN.


GHI EVENT MESSAGE FILE XUỐNG

ĐỌC NHỮNG THÔNG TIN TRONG EVENT, CÙNG
NHỮNG THÔNG TIN LIÊN QUAN ĐỂ THEO DÕI HỆ
THỐNG
III: Phân Tích hệ thống API windows

4. API hỗ trợ cơ chế mã hóa
Sử dụng các hàm của CRYPTOAPI trong các file:
advapi32.dll và crypt32.dll. Để thực hiện việc mã hóa và
bảo mật .
III: Phân Tích hệ thống API windows
III: Phân Tích hệ thống API windows
IV: So sánh tính an toàn và bảo mật giữa
windows và HĐH Linux
V: An toàn và bảo mật trên windows 7
Windows 7 có thể được coi là bước đầu hoàn thiện những tính
năng bảo mật cao cấp của dòng hệ điều hành Windows, sau
những tính năng cơ bản của XP, những thử nghiệm mới của
Vista . Phiên bản windows 7 cho ra 1 số tính năng sau
1. AppLocker

AppLocker là giải pháp mới của Microsoft để điều khiển
các ứng dụng có thể quản lý được

AppLocker được tích hợp trực tiếp vào nhân của
Windows 7, được xem như là một thay thế vượt trội hơn
cho cơ chế chính sách giới hạn phần mềm dựa trên GPO
2. User Account Control (UAC)

V: An toàn và bảo mật trên windows 7
User Account Control (UAC) không phải là một kỹ thuật
hay ứng dụng riêng rẽ mà là một tập hợp của những công
nghệ nhằm phục vụ cho hai chức năng chính

thứ nhất và quan trọng nhất là tăng cường khả năng
tương thích cho user khi chạy ứng dụng với tư cách
standard user

thứ hai là tăng cường khả năng bảo vệ cho hệ thống khi user
chạy ứng dụng với tư cách administrator.
3. BitLocker

BitLocker được MS đưa ra để đáp ứng nhu cầu full disk
encryption (FDE) nhằm bảo vệ các file hệ thống và dữ liệu
người dùng
V: An toàn và bảo mật trên windows 7

BitLocker được giới thiệu lần đầu trong Windows Vista và
được cải tiến khá nhiều trong Win 7
4. Internet Explorer 8 Security
IE 8 tiếp tục cuộc cách mạng trình duyệt của MS với điểm
nhấn về hỗ trợ những tiêu chuẩn Internet. IE8 được xây
dựng trên những nền tảng bảo mật đã triển khai trong IE7.
5. DirectAccess( DA)

là giải pháp VPN cho phép người dùng từ xa có thể truy
cập những tài nguyên mạng nội bộ một cách trong suốt

DA tận dụng khả năng của IPSec và IPv6 có sẵn trong

Windows 7 để thiết lập các phiên làm việc an toàn để bảo vệ
kênh truy cập vào tài nguyên của tổ chức từ những mạng
không quản lý được
V: An toàn và bảo mật trên windows 7
6. Windows Services Hardening

Được giới thiệu lần đầu ở Windows Vista, Windows Services
Hardening (WSH) cho phép triển khai cơ chế Access
Control Lists (ACLs) trên những services của Windows

Đây là một công nghệ bảo mật rất mạnh, bảo vệ hệ thống
khỏi những xâm nhập nhắm vào các lỗ hổng có thể được
nhúng vào trong những dịch vụ của hệ điều hành.
7. Windows Firewall

Windows Firewall là tường lửa cá nhân hai chiều của MS
được tích hợp cho Windows 7

Tất cả các phiên bản Windows 7 đều có Windows Firewall.
Các policy của nó được điều khiển qua GPO.